[There]

Tere

Küsimus tekkis ühe organistatsiooniga kus seni olid osad masinad veel WinNT op.süsteemiga. Seal oli mingist ajast jäänud teatud piirangutega kasutajapõhine NT-polisy asju reguleerima. Nüüd kui op.süsteemid masinatel vahetusid 2000 ja XP peale siis NT-polisy ajas omi asju edasi ning toimis nagu ennemuiste, probleem tekkis vaid seetõttu, et Group Policyga (masinapõhine) tänu sellele ei toimi. Ehk siis priorideediks on endine kasutajate NT-polisy. Domeen on NT.

Nüüd kui kasutaja on arvutisse korra ära loginud ja nt-policy oma piirangud peale pannud või piirangud sama polisy kaudu pole pandud, siis nii on ja jääb. Isegi siis kui seda polisyd enam kättesaadav ei ole (sellisel juhul jääb viimane kehtiv polisy piirang peale). Olgu Group Policys (2000-XP) ükskõik mis. Endale teadaolevalt saab probleemist üle vaid siis kui kohalikust masinast profiilid ära kustutada ning seejärel ka toimiv nt-polisy ära kustutada, või siis kustutatud profiili omanik enam mitte siduda ühegi nt-polisy grupiga. Sellisel juhul masina-põhine hakkab Group Polisy toimima.

Nüüd küsimus siuke, et kas keegi teab täpsemalt kuskohas Windosis (2000 ja XP) asub profiilis need polisy andmed, et ei peaks kogu profiili sellepärast ära kustutama?

[Rasmus]

Üldiselt tuli sul nüüd väga segane jutt. Kas tegemist on domeenipõhise võrguga, mida haldab mingisugune poliise rakendav server? Kui jah, siis ei puutu lokaalsed poliisid absoluutselt asjasse, sest tööjaam on ju lisatud domeeni? Või on siis igas masinas lokaalselt kasutatud poliisidega erinevatele kasutajatele erinevate seadistuste jagamist?

Kui aga tegemist on poliise rakendava NT serveriga, siis kas NT server on üldse võimeline W2K ja WXP operatsioonisüsteemidele poliise sellises mahus rakendama, nagu oleks vaja?

[There]

Võib küll segane tunduda, kuna see võrk ongi natuke segane Domeen on NT ja domeenikontrolleris (NT server siis) lisaks loginscriptidele netlogonis on ka jutuks olnud (poleditga) tehtud polisyd. Need siis toimivad endiselt - ka näiteks xp tööjaamadele. Policyd on tehtud mitte masinatele vaid kasutajatele.

Nüüdseks kuna võrgus pole enam NT op süsteemiga töökohamasinaid, pole ka vajadust enam NT policydele, vaid kasutaks samas võrgus vaid xp adminpakiga Remote -Group Policy Object reguleerimist, kus policy asuvad lihtsalt ühes xp arvutis. Ehk siis grupeerid mingi hulga masinaid ühte policysse ning teed vajalikud piirangud ära. Kõik toimiks ja toimibki, kuid osadele kasutajatele, kellele ennem oli rakendatud mingit NT policyt võtab selle ülemuslikuks isegi juhul kui toda policyt enam serveris netloginis ei ole. Muidugi nendes arvutites - kus ta ajal mil NT policy serveris rippus - arvutisse sisse logis.
Ehk siis GPO loogika toimib ka nii erinevate asjanduste vahel nagu kasutaja NT policy ja XP adminpakis olev Remote -Group Policy Object. Loogika ses suhtes et kasutajale määratud policy on tähtsam kui masinale määratu.

Lahendust oleks lihtne saavutada sellega, visata domeenikontrollerist NTpolicy minema ning kustutada kõik nende kasutajate profiilid arvutitest kuhu nad eelnevalt loginud on. Kuigi NT polisy sai kunagi tehtud nii, et oli mitu erinevat gruppi - millest üks oli täiesti vaikimisi seadetega - midagi piiramata, on ka midagi piiramata grupiga see lugu et Remote GPO masinale ei toimi. Kuna tähtsamal kohal on ilmselt kuskil kasutaja profiilis olev nt-polisy seaded.

See kõik on eellugu, küsida tahtsin vaid seda kus-mis kohas kasutaja profiilis võib asuda see nt-policy asjandus, et ta kasutaja logimisel on suudab seda rakendada ka siis kui policyt domeenikontrolleris enam ei ole.

[Rasmus]

Mina isiklikult ei ole veel seda võimalust avastanud, et igale kasutajale saaks erinevaid poliise rakendada. On loomulikult võimalus poliisides, vastavalt võtmele rakendada väärtusi ühele või teisele kasutajale, aga mitte ühte poliisi konkreetsele kasutajale.

Endal on asi lahendatud W2K3 terminalserveri ja aktiivkataloogi kaudu. Kas kasutatakse siis rdp logimist terminalserverisse, või on masin otse domeeniga liidetud, seal ei ole enam vahet. Kui sa avastad võimaluse, kus kasutajapõhiselt GPO-sid siduda saab, anna mullegi teada. Saab mõndagi huvitavat ära teha